產生新的自簽憑證
如果現行自簽憑證已到期或即將到期,您可以使用管理 GUI 或指令行介面 (CLI) 為系統產生新的自簽憑證。
關於這項作業
註: 變更系統憑證會變更任何已配置的金鑰伺服器在系統中具有的信任。請將系統憑證匯出至金鑰伺服器,以在系統中重新建立金鑰伺服器信任。
在管理 GUI 中,選取,然後選取自簽憑證並填寫表單。
請使用下列步驟在指令行介面中產生自簽憑證:
程序
如果要建立使用 RSA 2048 金鑰類型並在一年內到期的自簽憑證,請輸入下列指令:
chsystemcert -mkselfsigned -keytype rsa2048 -validity 365同時還可以指定其他值,例如國家/地區、組織、通用名稱或「主體替代名稱」。
Chrome 瀏覽器及其他瀏覽器需要主體替代名稱,這是公開金鑰憑證的網際網路標準延伸。「主體替代名稱」延伸用於匹配網域名稱與站台憑證,可以是電子郵件位址、IP 位址、URI 或 DNS 名稱。憑證可以包含這些值的集合,以便此憑證可在多個站台上使用。
例如,如果要將 DNS 名稱新增至「主體替代名稱」延伸,請在 chsystemcert CLI 指令中包括下列參數:-subjectalternativename "DNS:dns.mysystem.com"。對於多個值,請使用建議的定界字元來區隔 -subjectalternativename 參數的每個項目。定界字元可以混合使用:
如需受支援定界字元的相關資訊,請參閱 chsystemcert CLI 指令。
| 定界字元名稱 | Symbol | 範例 |
|---|---|---|
| 空格 | ( 空格) | -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com" |
| 逗點 | (,) | -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com" |
| 分號 | (;) | -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com" |
| 新行(適用於 Linux 或 UNIX 作業系統) | (\n) | -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com" |
| 定位點(適用於 Linux 或 UNIX 作業系統) | (\t) | -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com" |
| 換行(適用於 Windows 作業系統) | (\r) | -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com" |
| 換行及新行(適用於 Windows 作業系統) | (\r\n) | -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com" |